【認證與授權】曇花一現的OTP如何保護我們的資產

閱讀時間約 5 分鐘
使用網銀時我們常常會聽到OTP、OTP, 究竟OTP是什麼呢? 全名為「One Time Password」, 一次性密碼, 顧名思義就是密碼僅能一次性的使用, 在過去我們也都很清楚單純的帳號密碼登入已經不是一個非常安全的選項的, 萬一牽涉到重要的金錢交易時, 如果安全環節沒有兼顧, 將導致個人財產損失, 因此也讓各家銀行都將OTP的技術導入變成一種基本功能。
OTP的工作原理是生成一個只能使用一次且有時限的密碼,這個密碼在每次使用後就會失效,無法再重複使用。這樣的設計可以有效防止密碼被竊取或重複使用,提高帳戶的安全性。
常見的OPT生成方式包括以下幾種:
1. 手機應用程式:使用者在手機上安裝一個OTP生成器應用程式(例如Google Authenticator、Authy),該應用程式會根據特定演算法和密鑰生成一個短暫性的OTP。
2. 簡訊:使用者在登錄或進行特定操作時,系統會向其註冊的手機號碼發送一條包含OTP的簡訊。
3. 電子郵件:OTP也可以通過電子郵件發送給使用者,使用者在登錄時需要輸入郵件中提供的OTP。
當使用者收到OTP後,他們需要在指定的時間內輸入這個密碼,以完成身份驗證或授權的過程。由於OTP只能使用一次且有時效性,即使有人盜取了OTP,也無法在有效期過後再次使用。

以Google Authenticator的流程為例子

非常清楚,登入前服務提供者與Google Authenticator之間已經約定好: 每次登入前核發一組一次性密碼,而用戶則輸入這組一次性密碼進行登入並操作,確保安全性。
實務上,我們也會在手機裝上Google Authenticator。
至於如何註冊與使用,官方文件都有詳細的說明,這裡就直接附上傳送門,請大家自行閱讀囉:

演算法

Time-based One Time Password(TOTP)

基於時間的算法, 讓驗證碼具有時效性, 因此會依賴於時間。
1. 生成共享密鑰:服務提供商在用戶註冊時生成一個共享密鑰,並將其與用戶帳戶關聯。
2. 生成時間戳記:TOTP 基於時間,所以需要一個時間戳記。通常是以一個固定的時間間隔(例如 30 秒)為單位。
3. 用戶計算一次性密碼:用戶設備上的 TOTP 客戶端使用共享密鑰和當前的時間戳記來計算一次性密碼。計算過程包括將時間戳記除以時間間隔並向下取整,將結果與共享密鑰結合,然後進行哈希運算以生成一次性密碼。
4. 用戶提供一次性密碼:用戶將計算得到的一次性密碼提供給服務提供商進行驗證。
5. 服務提供商驗證一次性密碼:服務提供商使用相同的共享密鑰和時間戳記計算一次性密碼,然後比對用戶提供的一次性密碼和計算得到的一次性密碼是否匹配。如果匹配,驗證成功。
這種OTP模式是比較常見的一種模式,除了達到一次性以外,連同時效性也一併考慮,非常適合用於轉帳、錢包…等重要的資產轉移驗證。

HMAC-based One-time Password(HOTP)

基於Counter的算法, 計數器的值是每次使用後遞增的, 這樣每次生成的一次性密碼都是不同的。
1. 生成共享密鑰:服務提供商在用戶註冊時生成一個共享密鑰,並將其與用戶帳戶關聯。
2. 初始化計數器:將一個初始計數器(通常為 0)與用戶帳戶關聯。
3. 用戶計算一次性密碼:用戶設備上的 HOTP 客戶端使用共享密鑰和計數器來計算一次性密碼。計算過程包括將計數器轉換為固定位數的數字字串,將共享密鑰和計數器進行結合,然後進行哈希運算以生成一次性密碼。
4. 用戶提供一次性密碼:用戶將計算得到的一次性密碼提供給服務提供商進行驗證。
5. 服務提供商驗證一次性密碼:服務提供商使用相同的共享密鑰和計數器計算一次性密碼,然後比對用戶提供的一次性密碼和計算得到的一次性密碼是否匹配。如果匹配,驗證成功。

結語

目前蠻多應用程式都有綁上Google Authenticator做為OTP驗證的加強功能, 讓我們的登入除了帳號密碼之外, 更確保是本人所登入的, 增加駭客盜竊的難度, 除了需要偷竊到該網站的帳號密碼之外, 還需要破解OTP的驗證碼, 甚至是綁定於裝置上的Google Authenticator, 這無疑是大幅增加了難度, 等於駭客要針對某一位用戶進行入侵, 相對不容易啊!
我們在前面也介紹過「【認證與授權】JWT(JSON Web Token)簡介」的概念, 有限時間內的通行證, 而這次的OTP更加安全, 除了有限的時間以外, 更限制僅能使用一次, 大幅度增加駭客破解的難度, 因此許多網站與應用程式都會綁定這種OTP功能是基於安全考量的, 隨著複雜科技的發展, 加上大量數位化的趨勢, 諸如金融交易、虛擬錢包…等與金錢有關的應用都應該加入此機制, 減少被竊取的風險。
喜歡撰寫文章的你,不妨來了解一下:
歡迎加入一起練習寫作,賺取知識,累積財富!
為什麼會看到廣告
113會員
254內容數
哈囉,我是阿Han,是一位 👩‍💻 軟體研發工程師,喜歡閱讀、學習、撰寫文章及教學,擅長以圖代文,化繁為簡,除了幫助自己釐清思路之外,也希望藉由圖解的方式幫助大家共同學習,甚至手把手帶您設計出高品質的軟體產品。
留言0
查看全部
發表第一個留言支持創作者!
阿Han的沙龍 的其他內容
這次來介紹軟體世界中很常遇到的授權策略,而有沒有比較好的一種策略方式,讓開發者可以遵循一套標準呢? 答案是有的,就來介紹一下新寵兒,Open Polocy Agent吧! 首先我們先搞懂什麼是認證? 什麼又是授權? 還懵懵懂懂的朋友們可以請先參考這一篇「Authentication、Authoriz
前一篇的「Authentication、Authorization,傻傻分不清楚?」主要在介紹認證與授權的差異之處,而本章節著重於授權這部分,也使用了經典的RBAC模型進行說明。 RBAC模型(Role-Based Access Control:基於角色的訪問控制), 認為可以抽象的表示: Who是
認證(authentication)跟授權(authorization)這兩個名詞常常被混淆,但本質上是完全不同的兩個概念,在數位化的時代下,為了確保每位使用者的安全性,每個系統幾乎都具備認證(authentication)與授權(authorization)這兩大功能,而這些概念也常常出現在我們生
概念: 有限時間內可使用通行證來要求對應的操作權限。 JWT 的組成內容有三個部分,由 . 做區隔,最後透過這三個部分,串成一個 Jwt 字串 [HEADER].[PAYLOAD].[SIGNATURE] 1. Header: 主要記載認證的方法 {     "typ": "JWT",     "
這次來介紹軟體世界中很常遇到的授權策略,而有沒有比較好的一種策略方式,讓開發者可以遵循一套標準呢? 答案是有的,就來介紹一下新寵兒,Open Polocy Agent吧! 首先我們先搞懂什麼是認證? 什麼又是授權? 還懵懵懂懂的朋友們可以請先參考這一篇「Authentication、Authoriz
前一篇的「Authentication、Authorization,傻傻分不清楚?」主要在介紹認證與授權的差異之處,而本章節著重於授權這部分,也使用了經典的RBAC模型進行說明。 RBAC模型(Role-Based Access Control:基於角色的訪問控制), 認為可以抽象的表示: Who是
認證(authentication)跟授權(authorization)這兩個名詞常常被混淆,但本質上是完全不同的兩個概念,在數位化的時代下,為了確保每位使用者的安全性,每個系統幾乎都具備認證(authentication)與授權(authorization)這兩大功能,而這些概念也常常出現在我們生
概念: 有限時間內可使用通行證來要求對應的操作權限。 JWT 的組成內容有三個部分,由 . 做區隔,最後透過這三個部分,串成一個 Jwt 字串 [HEADER].[PAYLOAD].[SIGNATURE] 1. Header: 主要記載認證的方法 {     "typ": "JWT",     "
你可能也想看
Google News 追蹤
Thumbnail
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
Thumbnail
最近協助小朋友背單字準備考試,發現官方的字彙本是PDF且有加上詞性,卻沒有中文解釋,所以我整理一下單字中英對照表,有興趣的請自行取用,並且點選喜歡,留言,加入我的沙龍。多謝 一開始先介紹什麼是YLE Movers 劍橋兒童英語認證(YLE)是劍橋大學英語考試院(Cambridge Assessm
Thumbnail
專業按摩證照的取得一直是追求按摩技術人士的目標,而其中最為瞭解的莫過於按摩學徒的執照與認證之路。從身體撥筋教學到經絡按摩課程,這些專業訓練不僅是一門技術,更是一種承諾和責任。 身體撥筋教學是按摩技術中的重要一環,它不僅要求技巧熟練,更需要對人體結構和疾病有深入的了解。撥筋課程涵蓋了解剖學、生理學等
Thumbnail
NIST 800-88 認證與其他抹除標準的全方位比較 索引 引言 NIST 800-88 標準要求 四大抹除標準比較 該使用何種抹除標準? Q&A 引言 NIST 800-88,全名為《信息安全手冊》的第800-88號文件,是由美國國家標準技術研究所(NIST)所發布的一項
Thumbnail
Netflix 最大的特色,大概就是在市場還沒全面看好前就持續投入。從一開始的 DVD 線上租賃服務到當今的串流事業,Netflix 經歷多次 pivot,包含亞馬遜(Amazon)併購失敗、放棄 DVD 銷售,後來轉型月費訂閱制、無延遲罰款,又或是百視達(Blockbuster)不願併購導致...
終於通過中高級了,超級開心的,來分享一下辛苦的過程,流淚撒種者必歡呼收割,雖然未來的路還很長,但至少已達成主要目標。 得知閩南語認證考試相關資訊剛好一年,從排斥台羅拼音到接受且認真學習,花了二個月自學,到後來數個月天天練習聽寫,這次成大認證台羅拼音聽寫考78分(總分80),感覺是蠻熟練了,台語老師
Thumbnail
📢 線上課程:毛孩神經骨科疾病治療與居家照護 🗓️ 日期:7/16(假日) ⌚ 時間:9:00 - 16:00(中間休息一小時) 👨‍⚕️ 由專精於再生醫學、骨科神經科的獸醫師陳重肇醫師,帶您全面了解犬貓常見好發骨科及神經疾病、治療手術的方式差異、疾病預防保健與居家照護重點、以及常見急症狀
Thumbnail
寵物家長們,留意了!我們有一場特別的課程即將在6/04開課,這場課程是專門為了寵物的眼睛健康設計的。 ✔️符合台北市動保處特定寵物業專任人員訓練課程 ✔️採認3小時 我們知道,寵物的眼睛是最需要我們關心的部分,也是他們最吸引我們的地方。誰能抵擋他們那雙無辜又閃亮的大眼睛呢?然而,這雙大眼睛也可能面
Thumbnail
- 2020/7/14 前陣子一直覺的我的生命想要再多一點進展~ 此外也發現自己想學習其他身心靈或關於療癒的課程,主要是好奇心跟想體驗! 本來其實是想去上IET天使課程或是獨角獸靈氣之類的,不過不知道為什麼好像跟它們目前不是很有緣😂 會去上Access Bars®(以下簡稱Bars)感覺好像
Thumbnail
【自序】 Ē-tàng出這本台語中高級kap寫作講義 ê 實體冊,tû-liáu 愛感謝kut-la̍t koh 拍拚 ê 我,koh愛感謝進前thè 我巡稿 ê 台語老師
Thumbnail
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
Thumbnail
最近協助小朋友背單字準備考試,發現官方的字彙本是PDF且有加上詞性,卻沒有中文解釋,所以我整理一下單字中英對照表,有興趣的請自行取用,並且點選喜歡,留言,加入我的沙龍。多謝 一開始先介紹什麼是YLE Movers 劍橋兒童英語認證(YLE)是劍橋大學英語考試院(Cambridge Assessm
Thumbnail
專業按摩證照的取得一直是追求按摩技術人士的目標,而其中最為瞭解的莫過於按摩學徒的執照與認證之路。從身體撥筋教學到經絡按摩課程,這些專業訓練不僅是一門技術,更是一種承諾和責任。 身體撥筋教學是按摩技術中的重要一環,它不僅要求技巧熟練,更需要對人體結構和疾病有深入的了解。撥筋課程涵蓋了解剖學、生理學等
Thumbnail
NIST 800-88 認證與其他抹除標準的全方位比較 索引 引言 NIST 800-88 標準要求 四大抹除標準比較 該使用何種抹除標準? Q&A 引言 NIST 800-88,全名為《信息安全手冊》的第800-88號文件,是由美國國家標準技術研究所(NIST)所發布的一項
Thumbnail
Netflix 最大的特色,大概就是在市場還沒全面看好前就持續投入。從一開始的 DVD 線上租賃服務到當今的串流事業,Netflix 經歷多次 pivot,包含亞馬遜(Amazon)併購失敗、放棄 DVD 銷售,後來轉型月費訂閱制、無延遲罰款,又或是百視達(Blockbuster)不願併購導致...
終於通過中高級了,超級開心的,來分享一下辛苦的過程,流淚撒種者必歡呼收割,雖然未來的路還很長,但至少已達成主要目標。 得知閩南語認證考試相關資訊剛好一年,從排斥台羅拼音到接受且認真學習,花了二個月自學,到後來數個月天天練習聽寫,這次成大認證台羅拼音聽寫考78分(總分80),感覺是蠻熟練了,台語老師
Thumbnail
📢 線上課程:毛孩神經骨科疾病治療與居家照護 🗓️ 日期:7/16(假日) ⌚ 時間:9:00 - 16:00(中間休息一小時) 👨‍⚕️ 由專精於再生醫學、骨科神經科的獸醫師陳重肇醫師,帶您全面了解犬貓常見好發骨科及神經疾病、治療手術的方式差異、疾病預防保健與居家照護重點、以及常見急症狀
Thumbnail
寵物家長們,留意了!我們有一場特別的課程即將在6/04開課,這場課程是專門為了寵物的眼睛健康設計的。 ✔️符合台北市動保處特定寵物業專任人員訓練課程 ✔️採認3小時 我們知道,寵物的眼睛是最需要我們關心的部分,也是他們最吸引我們的地方。誰能抵擋他們那雙無辜又閃亮的大眼睛呢?然而,這雙大眼睛也可能面
Thumbnail
- 2020/7/14 前陣子一直覺的我的生命想要再多一點進展~ 此外也發現自己想學習其他身心靈或關於療癒的課程,主要是好奇心跟想體驗! 本來其實是想去上IET天使課程或是獨角獸靈氣之類的,不過不知道為什麼好像跟它們目前不是很有緣😂 會去上Access Bars®(以下簡稱Bars)感覺好像
Thumbnail
【自序】 Ē-tàng出這本台語中高級kap寫作講義 ê 實體冊,tû-liáu 愛感謝kut-la̍t koh 拍拚 ê 我,koh愛感謝進前thè 我巡稿 ê 台語老師